META Infostealer

META Infolstealer er en ny, truende stamme som har vunnet innpass blant nettkriminelle. Skadevaretrusselen er en del av bølgen av skadelige kreasjoner som tar sikte på å fylle vakuumet som er igjen etter at operatørene til Raccoon Stealer stoppet sine aktiviteter. Som et resultat begynte mange hackere og hackerorganisasjoner å se seg om etter sin neste angrepsplattform, og det ser ut til at META Infostealer har klart å dekke de fleste behovene deres. Så langt kan tilgang til skadelig programvare fås for et månedlig abonnement på $125 eller en enkelt livstidsbetaling på $1000.

Trusselen blir annonsert som en mer potent og forbedret versjon av RedLine . Den kan hente sensitiv informasjon fra infiserte enheter, for eksempel påloggingsinformasjon og passord lagret i noen av de mest populære nettleserne, som Chrome, Firefox og Edge. I tillegg kan angriperne utnytte META Infostealer for å kompromittere offerets kryptovaluta-lommebøker.

Angrepskjeden

Sikkerhetseksperten og ISC Handler Brad Duncan avdekket en aktiv kampanje designet for å distribuere META Infostealer. Trusselaktørene bruker den utprøvde smittevektoren for å spre spam-e-poster med forgiftede filvedlegg. Disse lokke-e-postene kan inneholde fullstendig oppdiktede påstander om pengeoverføringer eller andre tilsynelatende presserende hendelser som trenger umiddelbar oppmerksomhet fra brukeren. For å se informasjon om det antatte problemet, blir ofrene bedt om å åpne den vedlagte filen, som er et Excel-regneark med makroer. For å fremstå som mer legitim, har filen en DocuSign-logo og instruerer brukere om å "aktivere innhold", et nødvendig trinn for å utføre en ødelagt VBS-makro.

Når skriptet er initiert, vil det hente og levere til brukerens enhet flere nyttelaster bestående av flere DLL-er og kjørbare filer. Filene hentes fra forskjellige nettsteder, for eksempel GitHub. For å unngå å bli oppdaget av sikkerhetsapplikasjoner, kan de droppede filene være base64-kodet eller ha sine byte reversert. Den endelige nyttelasten vil bli opprettet på enheten som en fil kalt 'qwveqwveqw.exe.' Det valgte navnet vil sannsynligvis bli generert tilfeldig. En ny registernøkkel vil bli injisert og fungere som en utholdenhetsmekanisme. Som en del av sine handlinger vil trusselen også bruke PowerShell-kommandoer for å tvinge Windows Defender til å slutte å skanne .exe-filene på systemet. Et tydelig tegn på tilstedeværelsen av META Infostealer er den kontinuerlige trafikken mellom dens nyttelast .exe-fil og operasjonskommando-og-kontroll-serveren.